Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Plus de 14 000 certificats SSL contenant le mot "PayPal" ont été délivrés par Let's Encrypt à des sites de phishing
En l'espace d'un an

Le , par Stéphane le calme

0PARTAGES

12  0 
En un an (de mars 2016 à février 2017), l’autorité de certification Let's Encrypt a émis un total de 15 270 certificats SSL contenant le mot « PayPal ». D'après une analyse réalisée par Vincent Lynch, expert en chiffrement travaillant pour le compte de SSL Store, environ 14 766 (96,7 %) ont été utilisés (ou sont utilisés) sur des domaines hébergeant des sites de phishing.

Dans un billet de blog, il explique que « l'une des principales craintes exprimées par les critiques de Let's Encrypt, une peur qui a précédé le lancement de l'autorité de certification, était que le service deviendrait l'autorité de certification à la volée pour les campagnes de phishing parce que ses certificats SSL étaient gratuits. Let's Encrypt a également une position non conventionnelle sur le rôle de l'autorité de certification, arguant que ce n'était pas le travail de l'autorité de certification que d’empêcher les sites malveillants d'utiliser ses certificats. Cela signifiait que les responsables de campagnes de phishing ainsi que les distributeurs de logiciels malveillants étaient libres d'utiliser Let's Encrypt sans risque d'être bannis ou de voir leurs certificats révoqués ».

Néanmoins, il a remarqué que « la position de Let's Encrypt est conforme aux normes de l'industrie », bien que « cette politique combinée à l'offre de certificats gratuits crée un environnement très attractif pour les opérations de phishing ».

Les experts en chiffrement et en sécurité avaient déjà prévenu Let’s Encrypt qu’en fournissant des certificats SSL gratuits, les acteurs malveillants se battraient pour obtenir des certificats gratuits et déplacer leurs opérations sur des domaines en HTTPS. Le premier de ces incidents de sécurité a été une campagne de malvertising qui a utilisé les certificats de Let's Encrypt et a été découverte par Trend Micro en janvier 2016. Depuis lors, il y a eu des cas isolés ; aucun abus de masse n’a été signalé, bien que les chercheurs en sécurité ont commencé à repérer de plus en plus de certificats de Let's Encrypt sur des sites malveillants.

« Pendant de nombreuses années, l'industrie de la sécurité dans son ensemble a incorrectement enseigné aux utilisateurs qu’associer HTTPS au cadenas vert est le signe d’un site "sûr". Il s'agit d'une mauvaise généralisation, ce qui peut amener les utilisateurs à croire qu'un site de phishing est réel s'il utilise un certificat SSL », a expliqué l’expert.

« De plus, la nouvelle interface utilisateur de Chrome affiche "Sécurisé" à côté de chaque site disposant d’un certificat SSL valide et une configuration HTTPS. Quelle est la probabilité qu'un utilisateur interprète mal la signification de cela et voie un site d'hameçonnage comme étant légitime ? »

Même si cela n’a été rendu obligatoire par aucune norme, Let's Encrypt a toujours publié des journaux de transparence des certificats. Au début du mois, Lynch a analysé ces journaux et découvert 988 certificats contenant le mot « PayPal » dans les informations de certificat, avec seulement quatre d'entre eux utilisés à des fins légitimes.

Après avoir appris de son analyse précédente, Lynch a affiné ses méthodes et est arrivé à des statistiques encore plus effarantes. En utilisant les données (qui ne sont pas toutes accessibles au public) de la recherche de certificats de Comodo, le chercheur a été en mesure de suivre tous les certificats Let's Encrypt SSL émis pour divers domaines qui comprenaient également le terme « PayPal », cible commune de nombreux sites de phishing, aux côtés de Gmail, Google , Apple, eBay ou Amazon.


Ses résultats révèlent comment les attaquants derrière les campagnes de phishing ont progressivement testé s'ils pouvaient obtenir, déployer et conserver les certificats Let's Encrypt pour des sites Web malveillants.

Autour d'octobre et novembre de l'année dernière, le nombre de certificats SSL émis par Let's Encrypt pour PayPal a augmenté de façon exponentielle. « Il ne semble pas y avoir de cause spécifique de cette augmentation », a noté Lynch. « Il se peut simplement qu'il ait fallu un certain temps pour que la nouvelle se répande au sein des communautés de phishing et pour que l'expertise technique soit développée.»

Alors que Let's Encrypt a publié certains certificats à des fins légitimes, dans la plupart des cas, en regardant le nom d'hôte, le but du site est assez clair et il n’est pas nécessaire d’être un expert en sécurité pour le comprendre.

Bien que l'analyse de Lynch se concentre uniquement sur l'utilisation du mot PayPal dans les certificats gratuits de Let's Encrypt, il existe des milliers d'autres certificats semblables émis pour des termes comme « AppleID », « Gmail » et autres. Dans ces cas-là, le volume de certificats accordés n’est pas le même que celui des certificats PayPal étant donné que les activités consistant à obtenir un accès aux comptes PayPal sont très lucratives et impliquent un accès direct aux fonds.

« En supposant que les tendances actuelles se poursuivent, Let's Encrypt émettra 20 000 certificats “PayPal” supplémentaires d'ici la fin de l'année », a expliqué Lynch.

La bonne nouvelle est que ces sites de phishing ne restent pas longtemps en activité : selon un rapport de CYREN, leur durée de vie est d'environ deux jours en moyenne, période après laquelle ils sont marqués dans un Safe Browsing ou sont retirés par la société d’hébergement elle-même.

Source : blog SSL Store, rapport de CYREN

Voir aussi :

Les certificats SSL/TSL de Let's Encrypt sont supportés par la majorité des navigateurs, l'autorité avance dans son projet de sécuriser le Web

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Mograine
Membre à l'essai https://www.developpez.com
Le 29/03/2017 à 12:31
NSKis : le but d'un certificat SSL est de sécuriser les données échangées entre toi et le site, point. C'est ce que fourni Let's Encrypt, et c'est déjà un énorme progrès dans la sécurisation d'internet.

Il existe des certificats SSL de "plus haut niveau", les certificats EV, qui en plus du joli cadenas vert certifient que le domaine est légitime (la fameuse barre verte avec le nom de l'entreprise). Il faut pour ces certificats montrer patte blanche avec souvent un mail + un appel téléphonique + un certain montant à débourser.

Comme à l'époque on a appris au grand public à se méfier des sites Http, il faudra leur apprendra la différence entre SSL (cadenas vert) et SSL EV (barre verte)
5  1 
Avatar de wattazoum
Futur Membre du Club https://www.developpez.com
Le 30/03/2017 à 8:01
Citation Envoyé par NSKis Voir le message
Il me semblait que le but des "certificats" était de s'assurer de la légitimité du site visité... Et là, on nous dit que l'on a 14'000 certificats en balade qui indiquent que le site visité appartient à Paypal alors que ce sont des pièges à c...

N'est-ce pas le job d'un Let's Encrypt, fournisseur de certificats, de s'assurer de la légitimité du certificat fourni???

Si un lecteur de site peut m'éclairer sur cette notion de "certificat", il est le bienvenue...
Bonjour,

Je vais essayer de répondre précisément à la question de NSKis.
Ta question, telle que formulée, porte sur les "certificats" et non sur les "autorités de certification".
Il faut prendre en compte plusieurs notions en ce qui concerne la sécurisation des sites internet:
  • les certificats
  • la confiance dans un certificat
  • les autorités de certification (AC)
  • la confiance dans ces AC


Un certificat SSL sert à crypter les communications entre 2 partis. Il n'a pas besoin d'être valide, ni d'être signé par une autorité "reconnue", pour crypter des communications et éviter le Man In the Middle.

La confiance dans un certificat se défini en différent point:
  • l'émission du certificat par une autorité de certification "de confiance"
  • le nom commun de certificat reflètant le nom de domaine du site
  • la force des algorithmes de signature du certificat.

Quand ces 3 points sont vérifiés, le cadenas vert aparait.

Les autorités de certification sont des organismes émettant des certificats. Ils sont aujourd'hui communemant dit de confiance quand leurs certificats sont installés dans la plus part des navigateurs. Mais qui décide le niveau de confiance que l'on peut réellement avoir dans ces autorités ? Le monde des affaires (et non celui de la sécurité des utilisateurs).

Un utilisateur très averti peut alors définir SA CONFIANCE en internet en retirant de ses navigateur les certificats des autorités en qui il n'a pas confiance.
Toutes les autorités vérifient que le demandeur de certificat a accès à la mise à jour du site pour lequel le certificat est demandé. Enormément d'autorités s'arrètent là. C'est aussi le cas de Let's Encrypt.
Certaines autorités vérifient l'identité de la personne demandant le certificat et son habilitation réelle au sein de son entreprise éventuelle à demander un certificat pour ce site. C'est le cas des certificats EV.
Certaines autorités vérifient la moralité selon une idéologie, une religion ... du site pour lequel le certificat est demandé. Je n'ai pas d'exemple en tête, mais c'est le cas.
Les navigateurs mettent à disposition toutes ces catégories d'autorités, à l'utilisateur soucieux de sa sécurité de définir celles qu'il veut garder.
Naturellement, très très peu de gens le font.

wattazoum
4  0 
Avatar de Matthieu Vergne
Expert éminent https://www.developpez.com
Le 30/03/2017 à 10:50
Citation Envoyé par Stéphane le calme Voir le message
analyse réalisée par Vincent Lynch, expert en chiffrement travaillant pour le compte de SSL Store
En même temps, il ne va pas dire du bien de son concurrent. Ne lui reste donc plus qu'à expliquer que le boulot du concurrent est mauvais, ce qui passe soit par montrer que ledit concurrent fait des boulettes, ce qui n'est pas le cas ici vu que ces certificats sont considérés par Let's Encrypt comme valides, soit par faire valoir la vision du concurrent comme mauvaise, ce qu'il tente de faire ici.

Citation Envoyé par NSKis Voir le message
Il me semblait que le but des "certificats" était de s'assurer de la légitimité du site visité... Et là, on nous dit que l'on a 14'000 certificats en balade qui indiquent que le site visité appartient à Paypal alors que ce sont des pièges à c...

N'est-ce pas le job d'un Let's Encrypt, fournisseur de certificats, de s'assurer de la légitimité du certificat fourni???

Si un lecteur de site peut m'éclairer sur cette notion de "certificat", il est le bienvenue...
Pour faire simple, si tu envoies un courrier par la Poste à DVP en disant comme tu les aimes, puis que quelqu'un l'ouvre en cachette pour remplacer le message par un panier d'insultes en tout genre, ce qu'on appelle une attaque de l'homme du milieu, le message qu'ils vont recevoir sera corrompu. Si le travail est bien fait, ils n'auront aucun indice pour s'en rendre compte, et penseront donc que tu les as insulté et pourront porter plainte pour injure, "preuve" à l'appui (sic).

Le principe du certificat est de chiffrer ton message avec une clé privée (connue uniquement de toi), de manière à ce que si le contenu change, le contenu chiffré soit différent. De l'autre côté, DVP recoit ton courrier et tente de le déchiffrer avec une clé publique (connue de tous) appairée à ta clé privée (elle permet de déchiffrer ton message sans fournir assez d'infos pour deviner la clé privée). Ils seront donc capables de déchiffrer le message. Sur ce seul principe, n'importe qui peut le déchiffrer, vu que la clé publique est disponible pour tous, mais si l'homme du milieu veut changer le contenu, il faut qu'il chiffre sont nouveau contenu avec la clé privée, sinon la clé publique ne marchera pas lors du déchiffrement et DVP se rendra compte de la supercherie. Mais ta clé privée étant bien gardée, il en est incapable. Le certificat permet donc à DVP de s'assurer que le message qu'ils ont reçu est bien celui que toi tu as envoyé.

De la même manière, un certificat appliqué à un site web assure que les données que tu reçois de ce site web n'ont pas été corrompues sur le chemin par une attaque de l'homme du milieu. Donc si tu te connectes au site https://mail.google.com, le certificat permet de garantir que les données reçues viennent bien de GMail, mais de la même manière si tu te connectes au site https://fake.mail.google.com, le certificat propre à ce site certifie que les données reçues viennent bien de ce site, de toute évidence un site douteux.

Garantir que ce qui est fait sur le site est légal ou légitime n'est pas du ressort du certificat. Pour reprendre la métaphore de l'enveloppe, avant de te donner la possibilité d'utiliser un certificat pour ton courrier, il faudrait qu'on juge d'une manière ou d'une autre le contenu que tu pourrais envoyer, ce qui est très subjectif. Tout le débat étant de savoir si une autorité qui délivre des certificats doit faire ce travail supplémentaire de "juger" le site pour savoir s'il mérite d'avoir un certificat. Let's Encrypt considère que ce n'est pas son rôle, et se concentre donc sur le rôle premier des certificats, qui est de garantir que les données arrivent telles qu'elles ont été envoyées, peu importe leur contenu.

Citation Envoyé par Jarodd Voir le message
Mais ce n'est pas spécifique à Let's Encrypt, si ? Les autres autorités ne génèrent pas de certificat pour les termes Paypal, Apple, Gmail ? Ou bien ils ne sont pas aussi transparents que LE sur ces statistiques ?
Certains sont plus laxistes que d'autres, LE étant le plus laxiste vu qu'il ne fait aucun contrôle. Mais pour ceux qui estiment qu'il faut juger le site, chacun peut être plus ou moins rigoureux, et je ne sais pas s'il y a des critères objectifs, ou ne serait-ce que conventionnels. Mais ce qui est sur est qu'il y a déjà eu des erreurs.

Citation Envoyé par NSKis Voir le message
Dès lors à quoi sert le https, si on peut obtenir un certificat en se faisant passe pour n'importe qui? Si je comprend bien, je me fais un site du style "www.micro-soft.com", j'obtiens un certificat au nom de "microsoft" et vogue la galère, je peux me faire passer pour microsoft... C'est possible?
Non, ton certificat sera un certificat "www.micro-soft.com". Tu ne peux jouer que sur la ressemblance et l'inattention de l'internaute pour l'avoir.
4  0 
Avatar de NSKis
En attente de confirmation mail https://www.developpez.com
Le 30/03/2017 à 13:24
Merci à Matthieu Vergne et à wattazoum pour vos explications très instructives.

Vous démontrez par là tout l'intérêt d'un site tel que developpez.com.

Ne pouvant pas être au top des connaissances dans tout les domaines du numérique, l'aide de la communauté est précieuse.
3  0 
Avatar de spyserver
Membre averti https://www.developpez.com
Le 29/03/2017 à 12:20
D'un point de vue purement formel le principe d’autorité de confiance c'est que c'est le garant de certifier une confiance dans "l'échange" (pas de man in the middle par ex) et non le contenu de l'échange, la norme SSL n'intègre pas l'aspect moral or c'est ce qui est visé ici, un peu comme les enfants de députés payés gracieusement avec l'enveloppe de papa, d'un point de vue purement réglementaire, c'est légal, moralement ça l'est beaucoup moins.
1  0 
Avatar de NSKis
En attente de confirmation mail https://www.developpez.com
Le 29/03/2017 à 12:21
Citation Envoyé par Pierre Louis Chevalier Voir le message
Let's Encrypt n'à absolument pas les moyens humains de faire ce genre de vérification, c'est une appli qui génère des certificats à tous ceux qui en font la demande...
Donc https ne veux pas forcément dire sécurité puisque même les malfaisants peuvent avoir un certificat...
Dès lors à quoi sert le https, si on peut obtenir un certificat en se faisant passe pour n'importe qui? Si je comprend bien, je me fais un site du style "www.micro-soft.com", j'obtiens un certificat au nom de "microsoft" et vogue la galère, je peux me faire passer pour microsoft... C'est possible?
1  0 
Avatar de petitours
Membre éprouvé https://www.developpez.com
Le 05/04/2017 à 18:49
Bonjour

Le problème majeur que je vois vient des navigateurs qui manipulent et vulgarisent cette confiance.
Mettre du rouge et des warning quand ce n'est pas SSL ok, c'est discutable mais pourquoi pas. Mais aller mettre du vert et des messages rassurants quand il y a SSL c'est profondément débile. 99.9% des utilisateurs (qui n'ont pas la moindre notion sur les certificats) perdent dans ce vert la fragile vigilance qu'ils avaient avant. Le pishing paypal évoqué ici doit avoir la belle vie grâce à ça.

Comme nos politiques qui ont la cote un jour et font la gueule le lendemain après une révélation je redoute le jour où une autorité de certification sera piraté discrètement et que ça va péter après. Et pas la peine de parler de la révocation des certificats, il y a un paquet de systèmes qui ne les vérifient pas et même dans le monde de bisousnours où ce serait le cas le délai serait bien trop long.
1  0 
Avatar de NSKis
En attente de confirmation mail https://www.developpez.com
Le 29/03/2017 à 9:45
Il me semblait que le but des "certificats" était de s'assurer de la légitimité du site visité... Et là, on nous dit que l'on a 14'000 certificats en balade qui indiquent que le site visité appartient à Paypal alors que ce sont des pièges à c...

N'est-ce pas le job d'un Let's Encrypt, fournisseur de certificats, de s'assurer de la légitimité du certificat fourni???

Si un lecteur de site peut m'éclairer sur cette notion de "certificat", il est le bienvenue...
0  0 
Avatar de Jarodd
Membre expérimenté https://www.developpez.com
Le 29/03/2017 à 9:46
Mais ce n'est pas spécifique à Let's Encrypt, si ? Les autres autorités ne génèrent pas de certificat pour les termes Paypal, Apple, Gmail ? Ou bien ils ne sont pas aussi transparents que LE sur ces statistiques ?
0  0 
Avatar de Andarus
Membre averti https://www.developpez.com
Le 29/03/2017 à 10:20
Citation Envoyé par NSKis Voir le message
Il me semblait que le but des "certificats" était de s'assurer de la légitimité du site visité... Et là, on nous dit que l'on a 14'000 certificats en balade qui indiquent que le site visité appartient à Paypal alors que ce sont des pièges à c...

N'est-ce pas le job d'un Let's Encrypt, fournisseur de certificats, de s'assurer de la légitimité du certificat fourni???

Si un lecteur de site peut m'éclairer sur cette notion de "certificat", il est le bienvenue...
Est ce vraiment à l'éditeur de certificat de réglementer les cas de parasitage et dans ce cas où s'arrête-t-on? Pourquoi ne pas faire aussi porter la responsabilité au vendeur de nom de domaine?
1  1